ネットワーク脅威可視化
RSA NetWitness Network

活用事例

Emotetの攻撃検知例

攻撃の特徴

  1. Emotetに感染させるメールがばらまかれる
  2. 感染した端末は一時的に構築されたC&Cサーバのいくつかに接続する
  3. 感染端末はさらに最新のモジュールをダウンロードし感染を広げていく

⇒数十台のC&Cサーバが4~5日の頻度で入れ替わり、特定が非常に難しい

スレットハンティングサービスで解決

  • RSA Netwitness Networkを使用して取得したパケットを解析
  • Emotetの攻撃で使用されるパケットの特徴的なヘッダ情報やボディ情報に合致するパケットをルールにより抽出
  • C&Cサーバに通信を開始する前に感染してしまった端末を洗い出し、攻撃者に制御されてしまうことを回避
20TBものデータへの解析が、RSA NetWitness Networkを使用すると1分ほどで抽出が可能

外部流出データの特定例

トロイの木馬によるデータ漏えい Netwitnessが漏えいデータを確保 アナリストがデータを解析 漏えいした情報をお客様に報告
漏えいしたWebの送受信データ等に個人情報が含まれていないことを確認しました

攻撃の特徴

数年おきに大流行するトロイの木馬の亜種により、感染被害が多発
アンチウィルスソフトのパターンファイル更新までの数時間で大量の端末が感染

⇒感染したとわかる明確な症状が出ないため検知が困難

スレットハンティングサービスで解決

  • RSA NetWitness Networkで収集したパケットから該当マルウエアの通信を抽出しC&Cサーバを特定
  • マルウエア感染し制御された被害端末を早期に特定
  • 特定した端末からのデータ流出の事実を確認、流出データをNetWitnessで復元し機密情報が含まれていない事実を確認しお客様に報告
スレットハンティングでお客様のインシデント対応を強力にサポート